Mi a WannaCry ransomware, hogyan működik és hogyan lehet biztonságban maradni

WannaCry Ransomware, WannaCrypt, WanaCrypt0r vagy Wcrypt néven is ismert ransomware, amely a Windows operációs rendszereket célozza meg. 12-én fedezték fel^th 2017. májusában a WannaCryptet egy nagy kiber támadásban alkalmazták, és azóta 150 országban több mint 230 000 Windows PC-t fertőzött meg. Most.

Mi a WannaCry ransomware

A WannaCrypt kezdeti slágerei közé tartozik az Egyesült Királyság Nemzeti Egészségügyi Szolgálata, a spanyol Telefónica telekommunikációs cég és a FedEx logisztikai cég. Ilyen mértékű volt a ransomware kampány, amely káoszt váltott ki az Egyesült Királyság kórházaiban. Közülük sokakat rövid időn belül le kellett állítani, ami a műveletek bezárását okozta, míg a személyzet tollat ​​és papírt kénytelen volt használni munkájához a Ransomware által lezárt rendszereknél.

Hogyan kerül a WannaCry ransomware a számítógépére

Amint világméretű támadásaiból kitűnik, a WannaCrypt először egy email melléklet és ezután gyorsan terjedhet LAN. A ransomware képes titkosítani a rendszerek merevlemezét, és megpróbálja kihasználni a SMB-sebezhetőség terjeszteni véletlenszerű számítógépekre az interneten a TCP porton keresztül és ugyanazon a hálózaton lévő számítógépek között.

Ki hozta létre a WannaCry-t

Nincs megerősített jelentés arról, hogy ki hozta létre a WannaCrypt-et, bár a WanaCrypt0r 2.A 0 a 2-nek tűnik^nd szerzőinek kísérlete. Elődjét, a Ransomware WeCry-t még ez év februárjában fedezték fel, és 0-t követelt.1 Bitcoin a feloldáshoz.

Jelenleg a támadók állítólag a Microsoft Windows exploitot használják Örök kék amelyet állítólag az NSA hozott létre. Állítólag ezeket az eszközöket egy úgynevezett csoport ellopta és kiszivárogtatta Árnyékközvetítők.

Hogyan terjed a WannaCry

Ez a Ransomware a Server Message Block (SMB) implementációiban található biztonsági rések használatával terjed a Windows rendszerekben. Ezt a kizsákmányolást nevezik ÖrökKék amelyet állítólag egy úgynevezett csoport ellopott és visszaélt Árnyékközvetítők.

Érdekes módon, ÖrökKék egy hackerfegyver, amelyet az NSA fejlesztett ki a Microsoft Windows rendszert futtató számítógépek elérése és parancsolása céljából. Kifejezetten az amerikai katonai hírszerző egység számára tervezték, hogy hozzáférjen a terroristák által használt számítógépekhez.

A WannaCrypt létrehoz egy belépési vektort a még javítás nélküli gépekben, még akkor is, ha a javítás elérhetővé vált. A WannaCrypt az összes olyan Windows verziót megcélozza, amelyekre nincs javítás MS-17-010, amelyet a Microsoft 2017 márciusában adott ki a Windows Vista, a Windows Server 2008, a Windows 7, a Windows Server 2008 R2 és a Windows 8 rendszerekre.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 és Windows Server 2016.

A közös fertőzési minta a következőket tartalmazza:

• Érkezés a szociális mérnöki e-maileken keresztül, amelyek arra késztetik a felhasználókat, hogy futtassák a rosszindulatú programokat és aktiválják a féregterjesztő funkciókat az SMB-kiaknázással. A jelentések szerint a rosszindulatú programot egy fertőzött Microsoft Word fájlt amelyet e-mailben küldenek el, állásajánlatnak, számlának vagy más vonatkozó dokumentumnak álcázva.
• Az SMB-n keresztüli fertőzés kihasználja, ha egy nem javított számítógépet más fertőzött gépeken lehet megszüntetni

A WannaCry egy trójai csepegtető

A dropanna trójai, a WannaCry tulajdonságainak bemutatása megpróbálja összekapcsolni a domaint hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, az InternetOpenUrlA () API használatával:

Ha azonban a kapcsolat sikeres, a fenyegetés nem fertõzi tovább a rendszert ransomware-rel, vagy nem próbál más rendszereket kihasználni a terjesztéshez; egyszerűen leállítja a végrehajtást. Csak akkor, ha a kapcsolat meghiúsul, a csepegtető továbbadja a ransomware-t, és létrehoz egy szolgáltatást a rendszeren.

Ennélfogva a tartomány tűzfallal történő blokkolása akár ISP, akár vállalati hálózati szinten a ransomware tovább terjeszti és titkosítja a fájlokat.

Egy biztonsági kutató pontosan így állította meg a WannaCry Ransomware járványt! Ez a kutató úgy érzi, hogy ennek a domain-ellenőrzésnek az volt a célja, hogy a ransomware ellenőrizze, hogy fut-e egy Sandbox-ban. Egy másik biztonsági kutató azonban úgy vélte, hogy a tartományellenőrzés nem ismeri a proxyt.

Végrehajtáskor a WannaCrypt a következő beállításkulcsokat hozza létre:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ taskche.alkalmazás"
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = "”

A következő beállításkulcs módosításával megváltoztatja a háttérképet váltságdíjas üzenetre:

• HKCU \ Control Panel \ Desktop \ Wallpaper: “\ @ [e-mail védett] ”

A visszafejtő kulcs ellen kért váltságdíj ezzel kezdődik 300 dollár Bitcoin amely néhány óránként növekszik.

A WannaCrypt által megfertőzött fájlkiterjesztések

A WannaCrypt az egész számítógépen olyan fájlokat keres, amelyek a következő fájlnévkiterjesztések bármelyikével rendelkeznek: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .SH , .3ds , .kulcs , .sldm , .3g2 , .világi , .sldm , .3gp , .laikus6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ÍV , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .középső , .stc , .asm , .mkv , .std , .áspiskígyó , .mml , .sti , .avi , .mov , .stw , .biztonsági mentés , .mp3 , .suo , .bak , .mp4 , .svg , .denevér , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .üzenet , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .osztály , .furcsa , .kátrány , .cmd , .furcsa , .tbk , .cpp , .odp , .tgz , .katódsugárcső , .ods , .tif , .cs , .páratlan , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .12. o , .vdi , .BEMÁRT , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .pont , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .fazék , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .PST , .xlw , .befőttes üveg , .rar , .postai irányítószám , .Jáva , .nyers

Ezután átnevezi őket a.WNCRY ”a fájlnévhez

A WannaCry gyorsan terjed

A WannaCry féregfunkciói lehetővé teszik a nem javított Windows gépek megfertőzését a helyi hálózatban. Ugyanakkor masszív vizsgálatot hajt végre az internet IP-címein más sebezhető számítógépek felkutatása és megfertőzése érdekében. Ez a tevékenység nagy SMB forgalmi adatokat eredményez a fertőzött gazdagéptől, és a SecOps munkatársai könnyen nyomon követhetik.

Amint a WannaCry sikeresen megfertőz egy sebezhető gépet, arra használja, hogy más PC-ket megfertőzzen. A ciklus tovább folytatódik, mivel a szkennelés útvonala felfedezi a nem javított számítógépeket.

Hogyan védekezzünk a WannaCry ellen

1. A Microsoft javasolja frissítés Windows 10 rendszerre mivel a legújabb funkciókkal és proaktív mérséklésekkel rendelkezik.
2. Telepítse a MS17-010 biztonsági frissítés kiadta a Microsoft. A vállalat biztonsági javításokat is kiadott olyan nem támogatott Windows verziókhoz, mint a Windows XP, a Windows Server 2003 stb.
3. Azt javasoljuk, hogy a Windows-felhasználók legyenek nagyon óvatosak az adathalász-e-mailekkel szemben, és nagyon óvatosak legyenek közben az e-mail mellékletek megnyitása vagy rákattint a web-linkekre.
4. Készítsen biztonsági mentések és biztonságosan tartsa őket
5. Windows Defender Antivirus észleli ezt a fenyegetést Ransom: Win32 / WannaCrypt ezért engedélyezze, frissítse és futtassa a Windows Defender Antivirus programot a ransomware felderítésére.
6. Használjon ki néhányat Anti-WannaCry Ransomware Tools.
7. Az EternalBlue Vulnerability Checker egy ingyenes eszköz, amely ellenőrzi, hogy a Windows számítógépe sérülékeny-e EternalBlue kihasználni.
8. Tiltsa le az SMB1-et a KB2696547 címen dokumentált lépésekkel.
9. Fontolja meg, hogy hozzáad egy szabályt az útválasztón vagy a tűzfalon blokkolja a bejövő SMB forgalmat a 445-ös porton
10. Az Enterprise felhasználók használhatják Device Guard eszközök lezárása és kernel szintű virtualizáció alapú biztonság biztosítása, csak a megbízható alkalmazások futtatását engedélyezve.

Ha többet szeretne megtudni erről a témáról, olvassa el a Technet blogot.

Lehet, hogy a WannaCrypt egyelőre leállt, de számíthat arra, hogy egy újabb változat dühösebben fog ütni, ezért maradjon biztonságban.

A Microsoft Azure ügyfelei elolvashatják a Microsoft tanácsát a WannaCrypt Ransomware Threat elhárításáról.

FRISSÍTÉS: A WannaCry Ransomware Decryptors elérhető. Kedvező feltételek mellett, WannaKey és WanaKiwi, két visszafejtő eszköz segíthet a WannaCrypt vagy a WannaCry Ransomware titkosított fájlok visszafejtésében a ransomware által használt titkosítási kulcs lekérésével.